NIS2 umsetzen: Schritt für Schritt zur Compliance

Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit Dezember 2025 in Kraft. Rund 29.500 Unternehmen in Deutschland müssen jetzt handeln. Die gute Nachricht: NIS2-Compliance lässt sich in 8 strukturierten Schritten aufbauen. Der Vor-Check von NIS2Compass zeigt, wo Ihr Unternehmen heute steht. Der NIS2 Guide begleitet Sie anschließend durch den gesamten Umsetzungspfad.

Wie beginnt man mit der NIS2-Umsetzung?

Die NIS2-Anforderungen sind umfangreich, doch mit einem strukturierten Vorgehen beherrschbar. 8 Kapitel decken den gesamten Compliance-Pfad ab: von der Betroffenheitsanalyse über technische Maßnahmen bis zur Sicherheitskultur. Entscheidend ist, nicht an Einzelmaßnahmen zu scheitern, sondern den Gesamtpfad zu kennen.

Seit dem Inkrafttreten am 6. Dezember 2025 gelten alle Pflichten ohne Übergangsfrist. Die BSI-Registrierungsfrist ist am 6. März 2026 abgelaufen. Unternehmen, die noch nicht registriert sind, riskieren bereits Bußgelder.

Die 8 Kapitel im Überblick: Betroffenheit und Registrierung, Risikomanagement, Technische Sicherheitsmaßnahmen, Vorfallsmanagement und Meldepflichten, Governance und Verantwortung, Lieferkettensicherheit, Geschäftskontinuität und Krisenmanagement sowie Schulung und Awareness. Diese Struktur orientiert sich an den Anforderungen des NIS2UmsuCG und bildet einen vollständigen Umsetzungspfad.

Bevor Sie starten, sollten Sie zwei Fragen klären: Bin ich von NIS2 betroffen? Und falls ja, wo stehe ich heute? Der Vor-Check von NIS2Compass liefert in wenigen Minuten eine erste Standortbestimmung.

Wie sieht das in der Praxis aus?

Ein typisches Szenario: Ein Fertigungsunternehmen mit 150 Mitarbeitern im Sektor Verarbeitendes Gewerbe steht vor genau dieser Situation. Kein Informationssicherheitsbeauftragter, kein Asset-Inventar, keine definierten Meldeprozesse. Die IT-Abteilung mit sechs Mitarbeitern hat NIS2 als weiteres Thema auf dem Tisch.

Mit einem strukturierten 8-Kapitel-Pfad lässt sich die Umsetzung in etwa sechs Monaten durchlaufen. Die typischen Hürden: fehlende Dokumentation bestehender Maßnahmen und die Einbindung der Geschäftsleitung. Das Ergebnis: ein funktionierendes Sicherheitsmanagement, abgeschlossene BSI-Registrierung und dokumentierte Prozesse für den Ernstfall.

Wie klären Sie Ihre Betroffenheit und registrieren sich beim BSI?

Ob Ihr Unternehmen unter das NIS2-Umsetzungsgesetz fällt, hängt von zwei Faktoren ab: Sektor und Unternehmensgröße. Betroffen sind Organisationen ab 50 Mitarbeitenden oder 10 Mio. EUR Jahresumsatz in einem der 14 regulierten Sektoren. Die BSI-Registrierung ist für alle betroffenen Unternehmen verpflichtend.

Das BSIG unterscheidet zwischen Anlage 1 (hohe Kritikalität, z. B. Energie, Gesundheit, Transport) und Anlage 2 (sonstige kritische Sektoren, z. B. Lebensmittel, Chemie). Je nach Einstufung gilt Ihr Unternehmen als „besonders wichtige Einrichtung" oder als „wichtige Einrichtung", was den Umfang der Pflichten beeinflusst.

Für die Registrierung beim BSI benötigen Sie ein ELSTER-Zertifikat und ein MUK-Konto. Die BSI-Betroffenheitsprüfung hilft bei der ersten Einordnung. Die Registrierungsfrist ist seit dem 6. März 2026 abgelaufen. Eine ausführliche Erklärung zur Betroffenheit finden Sie im Artikel Bin ich von NIS2 betroffen?.

Wie erkennen und bewerten Sie Ihre Risiken?

Risikomanagement bildet das Fundament der NIS2-Compliance. Bevor Sie Maßnahmen umsetzen, müssen Sie wissen, welche Werte schützenswert sind, welche Bedrohungen bestehen und wo Lücken zu den gesetzlichen Anforderungen klaffen. Erst diese Analyse macht gezielte Investitionen möglich.

Der Prozess folgt vier Schritten:

• Asset-Inventar erstellen: Alle IT-Systeme, Anwendungen und Datenflüsse erfassen.
• Bedrohungsanalyse durchführen: Relevante Risiken für Ihre Branche und Infrastruktur identifizieren.
• Risikomatrix aufbauen: Eintrittswahrscheinlichkeit und Schadenshöhe bewerten, Prioritäten setzen.
• Gap-Assessment: Ihren Ist-Zustand gegen die gesetzlichen Vorgaben abgleichen.

§30 Abs. 2 BSIG definiert 12 Maßnahmenbereiche, die als Prüfgrundlage für das Gap-Assessment dienen. Eine detaillierte Gegenüberstellung von NIS2 und bestehenden Standards finden Sie im Artikel NIS2 vs. ISO 27001. NIS2Compass stellt in der Vorlagen-Bibliothek Vorlagen für alle vier Schritte bereit.

Welche technischen Maßnahmen sind Pflicht?

Das NIS2-Umsetzungsgesetz verlangt konkrete technische Schutzmaßnahmen in vier Kernbereichen: Zugangskontrolle mit Multi-Faktor-Authentifizierung, Verschlüsselung, Schwachstellen- und Patch-Management sowie Netzwerksicherheit. Diese Bereiche bilden das technische Fundament Ihrer NIS2-Compliance.

Zugangskontrolle und MFA: Rollenbasierte Zugriffsrechte stellen sicher, dass Mitarbeitende nur auf die Systeme zugreifen, die sie für ihre Arbeit benötigen. Multi-Faktor-Authentifizierung schützt kritische Zugänge zusätzlich. Laut Microsoft verhindert MFA 99,9 % aller Kontoübernahmen.

Verschlüsselung: Sensible Daten müssen sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt werden. Das betrifft E-Mails, Datenbanken und mobile Datenträger gleichermaßen.

Schwachstellen- und Patch-Management: Regelmäßige Schwachstellenscans und definierte Fristen für Sicherheitsupdates verhindern, dass bekannte Lücken ausgenutzt werden.

Netzwerksicherheit: Eine dokumentierte Netzwerktopologie und Segmentierung begrenzen den Schaden bei einem erfolgreichen Angriff.

NIS2Compass führt Sie durch jeden dieser Bereiche mit konkreten Handlungsschritten und fertigen Vorlagen.

Wie richten Sie Meldepflichten und Vorfallsmanagement ein?

Bei erheblichen Sicherheitsvorfällen müssen betroffene Unternehmen das BSI in drei Stufen informieren: Frühwarnung innerhalb von 24 Stunden, Erstmeldung innerhalb von 72 Stunden und Abschlussbericht innerhalb eines Monats. Ohne einen funktionierenden Incident-Response-Plan lassen sich diese Fristen kaum einhalten.

Incident-Response-Plan erstellen: Dokumentieren Sie vorab, wer im Ernstfall welche Aufgaben übernimmt. Klare Zuständigkeiten vermeiden Chaos in den ersten kritischen Stunden.

Meldekette definieren: Legen Sie fest, wie die Information intern eskaliert wird und wer die BSI-Meldung abgibt. Das BSI-Meldeportal sollte allen Beteiligten bekannt sein.

Regelmäßig üben: Tabletop-Übungen simulieren Vorfälle am Konferenztisch. So decken Sie Lücken im Prozess auf, bevor es ernst wird.

Der Gesetzgeber nimmt Meldeversäumnisse ernst. Bei Verstößen gegen die Meldepflichten drohen Bußgelder bis zu 10 Mio. EUR.

Was gehört zu Governance, Lieferkette und Geschäftskontinuität?

Drei Kapitel bilden den organisatorischen Rahmen Ihrer NIS2-Compliance: Governance regelt Verantwortlichkeiten und Richtlinien, Lieferkettensicherheit sichert externe Abhängigkeiten ab, Geschäftskontinuität bereitet Ihr Unternehmen auf den Ernstfall vor. Zusammen decken sie die nicht-technischen Pflichten des NIS2UmsuCG ab.

Wie funktioniert Governance in der Praxis?

Der erste Schritt ist die Bestellung eines Informationssicherheitsbeauftragten (ISB), der die Umsetzung koordiniert. Darauf aufbauend entsteht ein Richtlinien-Framework mit Leitlinie, Risikorichtlinie und Meldeprozessen. Besonders relevant: §38 BSIG sieht eine persönliche Haftung der Geschäftsführung bei Pflichtverletzung vor. Damit wird NIS2 zur Chefsache.

Warum ist die Lieferkette ein eigenes Kapitel?

Viele Sicherheitsvorfälle entstehen nicht im eigenen Unternehmen, sondern bei Zulieferern. Das NIS2UmsuCG verlangt deshalb ein Lieferanteninventar, eine Kritikalitätsbewertung und vertragliche Sicherheitsanforderungen. Wer seine Abhängigkeiten nicht kennt, kann sie nicht absichern.

Was umfasst Geschäftskontinuität?

Dieses Kapitel bereitet auf den Ernstfall vor: Business Impact Analysis, ein dokumentierter Kontinuitätsplan (BCP) und eine Backup-Strategie nach der 3-2-1-Regel. Detaillierte Anleitungen zu allen drei Kapiteln finden Sie im Knowledge Hub von NIS2Compass.

Warum ist Schulung der letzte Schritt?

Technische Maßnahmen greifen erst, wenn alle Mitarbeitenden sie verstehen und anwenden. Schulung und Awareness bilden das Fundament, auf dem alle anderen Kapitel aufbauen. Deshalb steht dieses Kapitel bewusst am Ende des Umsetzungspfads.

Welche Schulungen verlangt das NIS2UmsuCG?

Das Gesetz fordert Pflichtschulungen auf Leitungsebene und für alle Mitarbeitenden. In der Praxis bedeutet das: regelmäßige Awareness-Trainings, Phishing-Simulationen und den Aufbau einer nachhaltigen Sicherheitskultur. Laut Bitkom beginnen 84 % aller Cyberangriffe mit Social Engineering, also mit dem Faktor Mensch.

„In der Arbeit mit mittelständischen Unternehmen zeigt sich regelmäßig, dass technische Maßnahmen ihre Wirkung erst entfalten, wenn die Belegschaft geschult ist," sagt Dr. Markus Hartmann, Compliance-Berater bei NIS2Compass.

Der NIS2 Guide von NIS2Compass führt Sie durch alle acht Kapitel, von der Bestandsaufnahme bis zur Schulung, mit konkreten Checklisten und Vorlagen für jeden Schritt.

Häufige Fragen zur NIS2-Umsetzung

Wie lange dauert die NIS2-Umsetzung für KMU?

Die Dauer hängt von Ihrer Ausgangslage ab. Unternehmen mit bestehendem ISMS (etwa nach ISO 27001) können NIS2-spezifische Lücken in 3–4 Monaten schließen. Ohne Vorarbeiten sollten Sie 6–12 Monate einplanen.

Muss ich alle 8 Schritte in dieser Reihenfolge umsetzen?

Die Reihenfolge ist eine Empfehlung, keine Pflicht. Schritt 1 (Betroffenheitsprüfung und BSI-Registrierung) sollte immer zuerst erfolgen. Danach lassen sich mehrere Schritte parallel bearbeiten, etwa Risikomanagement und technische Maßnahmen gleichzeitig. Entscheidend ist, dass alle Bereiche vollständig abgedeckt werden.

Brauche ich einen externen Berater für NIS2?

Nicht zwingend. Strukturierte Leitfäden ermöglichen vielen KMU eine eigenständige Umsetzung. Bei komplexen Sonderfällen, etwa OT-Sicherheit oder sektorspezifischen Anforderungen, kann punktuelle Beratung sinnvoll sein. Einen detaillierten Kostenvergleich finden Sie im Artikel NIS2-Berater oder selbst umsetzen?.

Was passiert, wenn ich die NIS2-Umsetzung nicht abschließe?

Das NIS2UmsuCG sieht Bußgelder bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor. Bei besonders wichtigen Einrichtungen kann das BSI der Geschäftsführung die Leitungstätigkeit vorübergehend untersagen. Alle Sanktionsstufen erklärt der Artikel NIS2-Bußgelder: Welche Strafen drohen?.